Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Analisi dei rischi per la tutela dati personali: indicazioni e consigli generali

28 Giu 2018

Garantire la sicurezza dei dati personali nei trattamenti è uno dei pilastri del GDPR appena entrato in vigore (art. 32).

Il processo che porta alla gestione sicura dei dati non è sicuramente semplice o immediato, infatti come ben racconta l’articolo sul perché l’analisi dei rischi è cruciale per le aziende pubblicato su AgendaDigitale, non si può raggiungere senza un’analisi dei rischi effettuata periodicamente e comunque per ogni nuovo trattamento di dati personali o modifica significativa. Tale analisi deve prevedere un’adeguata metodologia, un processo che ne assicuri l’attuazione nei casi previsti e, molto importante, un’adeguata rendicontazione, in ottica di accountability (tema centrale del GDPR).

Al fine di facilitare l’analisi e fornire strumenti per rendere omogenea la gestione di questo aspetto delicato, le autorità (i garanti locali, il Working Party 29 ecc.) hanno dato indicazioni sulle metodologie, gli standard e i controlli a cui riferirsi preferenzialmente. Inoltre, hanno dato indicazioni utili per sfruttare quanto già eventualmente presente in termini di sicurezza e formalizzazione del livello di presidio sulla protezione dei dati aziendali, proponendo l’utilizzo di eventuali certificazioni basate su un’analisi del rischio (per esempio ISO 27001) al fine di attestare l’adeguatezza delle misure adottate, senza ripetere tutti i passi procedurali necessari nelle attività di analisi.

Tale indicazione costituisce un volano per le attività legate al tema certificazioni come ci racconta Paola Pellegrino, Security Officer Engineering D.HUB nell’articolo di AgendaDigitale sui consigli per gestire la sicurezza delle informazioni in ottemperanza al GDPR.

Tuttavia, ad oggi per molte aziende non sono ancora del tutto chiare le dinamiche con cui le certificazioni si inseriscono nel contesto dell’analisi dei rischi e fino a che punto riducano gli impatti delle attività, non consentendo di sfruttare la leva del GDPR per avviare un’eventuale strategia in tal senso.

A cura di Jusef Khamlichi Consulente senior presso P4I – Partners4Innovation e Sara Bacchieri, Trainee Information & Cyber Security presso P4I – Partners4Innovation

Articolo 1 di 5